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Le phishing, un business très lucratif 


Comment ne pas mordre à l'hameçon 
et prendre les devants. 


Depuis un an, les attaques de phishing connaissent un essor fulgurant, avec 
des pirates affinant toujours plus leurs tactiques et partageant leurs mé- 
thodes éprouvées. Ils ont en particulier profité des offres de malwares en 
tant que service (MaasS) proposées sur le Dark Web dans le but d'augmenter 
l'efficacité et le volume de leurs attaques. En fait, 91% des cyber-attaques et 
des fuites de données qui en résultent ont pour point de départ des emails 
de spear-phishing (ou hameçonnage]. 


Dans ce livre blanc, nous examinerons l'évolution des attaques de phishing 
sur les dernières années, comment elles fonctionnent et à quoi elles res- 
semblent. Et comme les cybercriminels continuent de viser les employés 
avec leur technologie, nous démontrerons toute l'importance de mettre en 
place un système de protection multi-couches contre ce type d'attaques, 
avec des technologies de sécurité avancées et des utilisateurs bien infor- 
més. 


Ne mordez pas à l'hameçon. 


Bien plus que du spam 


On associe souvent le phishing aux attaques de banque en ligne. Des pirates envoient un email qui 
vous redirige vers un site Web, qui est un clonage visuel de la page d'accueil de votre banque en ligne. 
Vous saisissez vos identifiants sur un formulaire bidon et ceux-ci sont simplement récupérés par les 
pirates. 


Mais le phishing c'est bien plus que les faux sites bancaires, les liens vers des pilules miracles 91% 

ou encore les fausses notifications de livraisons....C'est un appât très séduisant suspendu en des cyber-attaques 

permanence devant vous qui attend d'être avalé pour révéler de précieuses informations aux commencent par 

phishers. un email de spear- 
phishing 


Le phishing, un business très lucratif 


En 2016, le volume des attaques a considérablement augmenté, alimenté par les services du Dark 
Web tels que les kits de phishing gratuits et les phishing-as-a-service. Il est aujourd'hui très simple, 
même pour les pirates assez novices, d'exploiter des malwares sophistiqués qui ont été créés 

par des auteurs bien plus experts en la matière. En ce sens, 2016 a été surnommée «l'année 

du ransomware ». 


Les campagnes de phishing ont généralement plus de succès lorsqu'elles utilisent des appâts 
adaptés au contexte et, entre 2013 et 2015, les attaques de phishing ont suivi des modèles similaires 
et prévisibles. Elles augmentaient chaque mois un peu plus avant d'exploser au cours du dernier 
trimestre, pendant les fêtes de fin d'année. 


Mais ce ne fut pas le cas en 2016. Au lieu de la hausse habituelle en fin d'année, le phishing a 
augmenté en milieu d'année avec des pics localisés correspondant aux attaques ayant profité 
d'événements nationaux spécifiques ou aux périodes de peur généralisée. Par exemple, l'incertitude 
qui a plané autour du vote sur le Brexit au Royaume-Uni a été exploitée pour cibler les organes du 
gouvernement en mai et juin 2016. Et la fin de l'année fiscale aux États-Unis a vu des attaques liées 
à l'IRS (Internal Revenue Service) augmenter de 400 % par rapport aux années précédentes. 


Menaces de phishing 2015-2017 


En 2016, le volume des 
attaques a considérablement 
augmenté, alimenté par les 
services du Dark Web tels que 
les kits de phishing gratuits et 
les phishing-as-a-service. On 


l'a surnommée « l'année du 
| | | | | ransomware ». 
bull hdi | | | | it 


2016 
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Améliorer l'efficacité et la productivité 


Dans la plupart des cas, ce qui intéresse les cybercriminels, c'est le gain financier. Soit ils vous 
extorquent de l'argent en recourant aux ransomwares et à l'ingénierie sociale, soit ils vous 
volent des données et des identifiants qu'ils revendent ensuite sur les marchés du Dark Web. Et 
de même que le panorama des menaces évolue, les cybercriminels aussi. 


Actuellement, 89% des attaques de phishing sont le fruit du crime organisé. Comme le 
phishing est un business lucratif, les stratégies d'attaque ont evolué pour toucher tout le 
monde : 


Comment puis-je simplifier mon travail, travailler plus efficacement et comment faire pour 
accroître mes revenus ? 


Cela a donné lieu à des méthodes de distribution des attaques plus efficaces, avec des 
services de phishing à la demande, des kits en libre service et de nouvelles vagues de types 
d'attaques telles que Business Email Compromise (BEC) qui visent des ressources de plus 
grande valeur sur les réseaux sociaux. 


Kits de phishing gratuits 


Vous n'avez jamais rêvé que vos produits se vendent aussi bien que les iPhones ? Pour 

la plupart d'entre nous, si nous voyons une idée qui marche bien - d'un ami, collègue où 
concurrent - nous sommes tentés de « l'emprunter » pour nous-même, n'est-ce pas”? Et bien, 
la communauté du phishing ne déroge pas à cette tendance. En fait, elle est encore mieux 
organisée. 


L'une des facettes intéressantes de l'écosystème du phishing est qu'il existe un très grand 
nombre d'acteurs qui réalisent des attaques, mais seul un petit nombre de phishers sont 
capables de créer un kit de zéro. Pour cette raison, les kits de phishing sont aujourd'hui 
largement disponibles sur les forums du Dark Web et autres plates-formes, offrant aux pirates 
tous les outils dont ils ont besoin pour créer des attaques de phishing profitables : emails, 
codes de pages Web, images, etc. 


Les auteurs de kits recherchent le profit en distribuant leurs kits aux utilisateurs plus novices, 
en procédant de deux manières : soit ils offrent des kits gratuits contenant des portes dérobées 
qui leur permettent de collecter toutes sortes de données envoyées par l'expéditeur, soit ils se 
font de l'argent directement en vendant les kits. Les kits les plus chers contiennent même des 
fonctionnalités telles que des panneaux de contrôle pour le suivi de campagnes. 


« Attacks-as-a-service » 


En réalité, les pirates n'ont même plus besoin de savoir comment créer du malware ni 
d'envoyer des emails. Les solutions de type « as-a-service » et « pay-as-you go » sont 
utilisées par la plupart des technologies de services en ligne aujourd'hui, et le phishing ne 
fait pas exception à la règle avec une gamme de services de plus en plus accessibles pas les 
cybercriminels : 
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89% 


des attaques de 
phishing sont 
orchestrées par des 
professionnels du 
crime organisé 


- Le "ransomware-as-a-service » permet à un utilisateur de créer un compte en ligne et 
de remplir un questionnaire rapide, comprenant le prix de départ de la rançon et le prix 
à payer en cas de retard pour la victime. Le fournisseur du service récupère alors une 
part de chaque rançon payée, avec des remises offertes si l'utilisateur est capable de 
traduire le code en nouveaux langages ou si le volume de l'attaque dépasse un certain 
niveau. 


Create a malware 


Ransom 


jse * * as decimal separator 


Multiplier 


Used to multiply the ransom by X times after Y days 


Multiplier (Days) 


Jays before the ransom multiplier 


Notes are private, and used only to keep track of your victimes 


Le ransomware Satan : un 
service en ligne qui permet 
aux pirates de créer leur 
propre virus en quelques 
minutes et à commencer 
à infecter les systèmes 
Windows. 


Read about how to set up à gateway proxy 


- Le « phishing-as-a-service » permet à l'utilisateur de payer pour l'envoi d'attaques 
de phishing, via des botnets mondiaux pour éviter les plages d'adresses IP suspectes. 
Des garanties sont même prises pour ne facturer que les emails délivrés, comme dans 
n'importe quel service de marketing électronique licite. 


Message 
SEVAULELS | 


Exemple de service 
d'envoi de spam : fac- 
turé par email envoyé à 
une bofte de réception 
active, avec possibilité 
de suivi du taux de clics 
effectués. 


Avril 2017 
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Ces services ont conduit à l'explosion des attaques de phishing comme nous l'avons souligné 
plus haut, du fait que n'importe quel pirate - quelles que soient ses connaissances techniques - 
peut lancer une attaque. 


Comme du marketing, six fois mieux 


Le plus inquiétant est que ces services du Dark Web ont permis aux pirates d'avoir plus de temps 
libre pour affiner leurs compétences et leurs campagnes malveillantes. 


Et leurs tactiques leur permettent d'atteindre des résultats que la plupart des équipes 
commerciales et de marketing rêveraient d'avoir, les emails de phishing ayant six fois plus de 
chance d'être ouverts que les emails classiques destinés au grand public. 


Avec un tel niveau de professionnalisation, la menace « phishing » a monté d'un cran. On 
voit émerger une nouvelle catégorie d'attaques dangereuses, les BEC ou Business Email 
Compromise, qui permettent aux pirates d'élargir leurs profits en ciblant les entreprises très 
performantes. 


Taux de clics issus des emails 


de phishing 
Phishing (Source i Verizon 2016 DBIR & 
14% Experian Email 


Benchmark Report Q4 2016 


Entreprises 
Grand public 3,51% 


24% 


3,1 
MILLIARDS 
de dollars 


de pertes dues aux 
attaques BEC en 2016 


Comment fonctionne le phishing 


Comme nous l'avons vu, le phishing c'est bien plus que les sites bancaires fictifs ou les fausses 
notifications de livraisons... Son but premier est de vous convaincre de fournir des informations 
de valeur aux phishers. Et ce qui a commencé comme du simple « hameçonnage » s'est 
aujourd'hui transformé en attaques puissantes que l'on peut classer en trois catégories : les 
attaques classiques, le phishing de masse et le spear-phishing, et les nouvelles tactiques BEC 
(Business Email Compromise), une sous-catégorie émergente du spear-phishing. 


Le phishing de masse 


Ces attaques sont largement opportunistes. Elles exploitent l'image de marque d'une entreprise 
pour attirer ses clients vers des sites fictifs où ils sont invités à partager des informations telles 
que numéros de cartes bancaires, identifiants de connexion et autres données personnelles, 
données qui seront ensuite revendues pour de l'argent. 


» Vise les ressources des individus 


>» Cible généralement les consommateurs d'une marque spécifique (de produits ou de 
services) 


» Envoi groupé et impersonnel 
>» Vise à dérober des données personnelles, de type identifiants de connexion 
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NETFLIX 


Your Account Has Been Suspended 


Dear Netflix, 


We are sending this email to let you know that your credit card has been 
expired. To update your account information, please visit Your Account. 


Un exemple type de phishing 
-Your friends at Netflix de masse « Vérifiez votre compte » 


Spear-phishing 


L'autre type de menaces est le spear-phishing : des emails qui semblent provenir d'un 
expéditeur spécifique ou d'une source de confiance sont envoyés à des individus-clés 


au sein d'une entreprise pour provoquer une action de leur part, comme par exemple 
envoyer de l'argent à des comptes fictifs. 


>» Vise les ressources d'une organisation spécifique 
>» Cible un individu ou un groupe spécifique au sein de l'organisation 
> Usurpe les adresses électroniques pour faciliter la conversion 


>» Prétend provenir de hauts dirigeants ou de sources de confiance 


NC ETES y for your TV licence - Message 
EN... pu 


Message | 


ya 0 se 
| 


(HTML) 5 É 
© Message | © 
SA Find | à à `a à | Fina | 
id D Related + à à + X g I Related ~ 
Categorize Follow Mark as D 
i Up” Unread | 
E } 


PAPE? RUE 


to Other | Block 


Reply Reply Forward | Delet: = | Reply Reply Forward | Delet: Other Block j u Categorize Follow 
to All older- Adtions~ || Sender Jiii to All r~ Adions - || Sender < Up- Unread || Wẹ Select ~ 
Respond Actions Junk E-mail a Options Find Respond Actions Junk E-mail i) Options ci Find 
From: TV Licensing mammaa Sent: Tue3/7/201710:18 From: TV Licensing Sent: Fri 2/24/2017 10:07 
To: - — —_— To: — —— 
Ce ce 
Subject: Pay for your TV licence Subject: Thanks for buying your TV Licence 


You're now covered to enjoy your favourite programmes. You're now covered to enjoy your favourite programmes. T 


TV LICENSING 


Micensing.co.uk 


Hicensing.co.uk 


You need to be covered by a TV Licence 
to watch or record live TV programmes 
on any channel, or to download or watch 


any BBC programmes on iPlayer - live, 
catch up or on demand. 


Please keep this email safe, as it tells you 
how to update your licence details. If you 

ever need to change anything, just sign in 
to your licence. Then you can: 


This applies to any device and provider Teur 1V liceno ES | Your TV Licence details: = 
you use, induding a TV, desktop BR a | + update your contact details, Licence number: — - 
computer, laptop, mobile phone, tablet, = © e tell us you've moved home, or PU re 
games console, digital box or DVD/Blu- | Licence expiry date: 09 March 2017 | e print or download your licence. xpiry date: DE ry 
ray/VHS recorder. = 
Thanks again. Your licence fee helps keep Sumamoon conza: M 


your old favourites on air, and bring new 
M favourites to life. 
In the UK 
we spend almost 24hours ® , 


a week watching T'\/ nis M 
Ca] we Snendaimosi 24hours f# e 


a week watching 
| a TV m 


Les emails authentiques et les emails de phishing sont souvent similaires, comme le 
montre cet exemple frappant pour la redevance télé au Royaume-Uni 
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Comme nous l'avons vu, des sous-catégories de spear-phishing plus ciblées ont émergé ; elles 
utilisent l'ingénierie sociale pour collecter des données et accroître le taux de conversion. Elles 
sont connues sous le nom de « CEO Fraud », « Whaling » et plus récemment Business Email 


Compromise (BEC). 14 000 
nu dollars 


Perte moyenne par 
Les attaques « Business Email Compromise » sont appelées ainsi car elles se référent davantage arnaque 
à un compte de messagerie compromis plutôt qu'à une adresse email usurpée. Cela rend 
l'attaque bien plus difficile à déceler pour les utilisateurs. 


BEC ou Business Email Compromise 


» Vise les données de l'entreprise, les identifiants de connexion ou les fonds d'une organisation 


> Une fois que les pirates ont ciblé une organisation, ils identifient les individus au sein de cette 
organisation en collectant des données depuis des sites tels que Facebook ou Linkedin pour 
élaborer des emails de phishing ultra ciblés qui semblent parfaitement légitimes. 


> Le pirate isole alors l'individu en lui faisant croire que cet email provient d'un très haut 
dirigeant de l'entreprise et qu'il est urgent d'y répondre. Cet email sera généralement envoyé 
tout à la fin de la journée ou de la semaine. 


Contrairement aux campagnes de spear-phishing ou de phishing de masse, ces attaques ciblent 
régulièrement les fonds de l'entreprise. Et contrairement aux attaques d'il y a quelques années 
qui fournissaient des coordonnées bancaires aux victimes dans des pièces jointes (PDF), les 
attaques BEC retiennent ces informations jusqu'à ce qu'une réponse positive ait été envoyée par 
la victime. Après tout, un compte frauduleux est le coût le plus important du pirate dans cette 
attaque, il est donc important de faire attention car il pourrait être dénoncé aux autorités si la 
victime se rend compte de l'arnaque avant. 


Les attaques BEC sont globalement plus difficiles à repérer car les pirates compromettent 

des comptes de messagerie professionnels pour envoyer leurs attaques. En fait, les dernières 
statistiques du FBI montrent qu'un nombre impressionnant d'organisations sont aujourd'hui 
victimes de ces attaques, avec des pertes s'élevant à plus de 3,1 milliards de dollars en 2016 et 


affectant plus de 22 000 entreprises. 
| | 30 % 
Savoir repérer les signes des emails de phishing 


sont ouverts 
Donc....ces fausses factures qui arrivent pour vous informer que quelqu'un a acheté un ticket 
d'avion avec votre carte bancaire et vous demandent d'ouvrir la pièce jointe pour en savoir plus et 
contester le paiement ? C'est du phishing de masse. 


Ces fausses notes de compagnies de transport qui vous demandent de confirmer l'adresse de 
votre entreprise pour qu'un article non expédié puisse être livré ? 


Cela ressemble la plupart du temps à du spear-phishing, sauf qu'ici l'appât est plus spécifique. 
Où, dans le cas d'attaques BEC, le message ne contiendra pas forcément de liens ni de pièces 
jointes malveillantes mais il vous demandera plutôt de transférer des fonds, rendant l'attaque 

plus vraisemblable. 


En d'autres termes, si l'email frauduleux commence par « Cher client », c'est du phishing. S'il vous 
salue par votre nom, c'est du spear-phishing. Et s'il provient de l'adresse email de votre chef, alors 
c'est une attaque BEC. 
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Bien sûr, de nombreuses attaques de spear-phishing sont bien plus pointues que cela, 

si vous me permettez la métaphore. Les pirates bien préparés peuvent connaître votre 
fonction, l'emplacement de votre bureau au sein de l'entreprise, la cafétéria où vous allez 
déjeuner, les amis que vous fréquentez, le nom de votre chef, le nom de votre ancien chef 
et même le nom du fournisseur de café de votre entreprise. 


Et comme vous pouvez l'imaginer, en termes de spear-phishing, le succès engendre le 
succès. Plus les pirates ou les cybercriminels en apprendront sur votre entreprise, plus 
leurs tentatives de phishing auront l'air vraisemblables. 


Ces informations peuvent s'acquérir de différentes manières : 


» Les attaques ayant déjà eu lieu et réussi, comme les malwares dérobant les 
données 


> Les ressources confidentielles d'entreprise, telles que les annuaires téléphoniques 
ou les organigrammes référencés dans les moteurs de recherche 


» Vos pages sur les réseaux sociaux et celles de votre entreprise 
» Les anciens employés mécontents 
» Des données achetées auprès d'autres pirates sur le Dark Web 


Vous aurez certainement en tête d'autres vecteurs via lesquels des informations 
confidentielles peuvent être révélées. En un mot, en comprenant ces tactiques et en 
refusant d'ouvrir ces emails de phishing (qui représentent 30 % des emails ouverts 
chaque jour), vous éviterez de vous faire avoir. 


Lutter contre le phishing 


Les emails de phishing se présentent sous des tailles et des formes très diverses et, 
malheureusement, aucun produit seul ne protégera votre entreprise contre ces attaques. 
Une stratégie qui allie une défense multi-couches, des technologies de sécurité avancées 
et des employés bien informés sur le phishing sont la seule réponse efficace. 


re s Protégez votre maillon Sécurisez votre dernière ligne de 
Stoppez les menaces à l'entrée ee ; 
faible : Vos utilisateurs défense 


: ; Formation des utilisa- Protection contre les ransomwar- 
Protection du Web et de la messagerie 3 
teurs es et les exploits 
» Mises à jour » Filtrage des URL » Formation » Prévention next-gen contre les 
contre les me- » Protection Time-of-Click » Test exploits 
naces en temps des URL » Rapports » Analyse 
réel » Sandboxing anti-malware » Nettoyage 


> Blocage des 

pièces jointes, des 

URL et du conte- 

nu malveillants 
» Anti-spoofing 
Sophos Email Protection 

Sophos Phish Threat Sophos Intercept X 

Sophos Web Protection 
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Pour être protégé, vous avez besoin de plusieurs niveaux de protection : 
Stoppez les menaces à l'entrée 


Votre première ligne de défense pour vous protéger des attaques de phishing et autres menaces 
diffusées via emails est de mettre en place un filtrage puissant du Web et de la messagerie. 


La meilleure protection contre le phishing est donc votre passerelle de messagerie. Essentielle, elle 
permet de bloquer 99% des emails indésirables à la passerelle, y compris les pièces jointes, les URL 
et tout le contenu malveillant - bien avant qu'ils puissent atteindre les utilisateurs. La technologie 
«Time-of-Click » empêche les utilisateurs de cliquer sur des liens de sites Web infectés, même s'ils 
étaient sans danger au moment d'entrer dans votre boîte de réception. Et le sandboxing dans le Cloud 
neutralise les emails avec des pièces jointes chargés de virus macros. 


Le filtrage du Web est une autre composante essentielle de la ligne de défense, permettant de filtrer 
et de bloquer les URL infectées lorsque vos utilisateurs cliquent sur des liens reçus par email. Enfin, 
le sandboxing des fichiers garantit que les charges de malwares sont éliminées de la chaîne de 
menaces en amont. 


Protégez le maillon le plus faible : les utilisateurs 


Même avec les filtres les plus efficaces en amont, les techniques d'attaques telles que les BEC qui 
n'ont ni exécutables ni liens à détecter, peuvent réussir à passer. Il est donc essentiel de former et 
de sensibiliser vos employés pour qu'ils sachent détecter et réagir face à ces types de messages 
électroniques. Optez pour des solutions qui proposent des simulations de campagne modifiables 
pouvant être adaptées à votre organisation où des solutions qui vous permettent de suivre les 
performances de vos employés afin de récompenser les bons comportements et aider les moins 
bons à s'améliorer. 


Sécurisez votre dernière ligne de défense 


Si vos utilisateurs diffusent malencontreusement des malwares puissant sur vos systèmes, il existe 
toujours de nombreuses options pour réparer les dommages - et même renverser leurs effets. Les 
solutions next-gen de prévention des exploits pourront identifier, analyser et neutraliser les effets des 
malwares, même les plus sophistiqués, et nettoyer automatiquement toutes les traces d'infection. 


Connaissez bien les processus en place 


Assurez-vous de bien connaître les processus de votre entreprise et d'encourager vos employés à 
questionner les diverses requêtes qui semblent provenir d'autres employés ou hauts dirigeants (quel 
que soit le gradel). Et plus important encore, assurez-vous d'avoir un processus d'approbation en deux 
étapes pour toutes les requêtes de transferts de fonds importants. Vous aurez beau avoir la meilleure 
technologie au monde en matière de sécurité informatique, vous ne pouvez empêcher un employé 
d'envoyer une somme importante à un escroc sans avoir un système de contrôles efficaces en place. 


Sophos propose des technologies puissantes capables de vous protéger à chaque étape de l'attaque. 


Pour plus d'informations, visitez Sophos.fr/phishing. 
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Dix signes révélateurs d'une attaque de phishing 
potentielle 


Voici dix signes qui peuvent vous aider à repérer d'éventuelles arnaques. 


1. L'email n'a tout simplement pas l'air authentique. Son contenu vous semble quelque peu bizarre ? 
Il est trop beau pour être vrai ? Suivez votre instinct. 


2. Des salutations génériques. Au lieu de s'adresser à vous directement, le message de phishing 
utilise des termes génériques tels que « Cher client ». Ces salutations impersonnelles font 
économiser du temps aux cybercriminels. 


3. Des liens vers des sites qui ont l'air officiels et qui vous demandent de saisir des données 
sensibles. Ces sites frauduleux sont souvent très trompeurs ; méfiez-vous donc du type 
d'informations personnelles ou confidentielles qu'ils vous demandent de partager. 


4. Les emails inattendus qui utilisent des informations spécifiques sur vous. Les données telles 
que votre fonction dans l'entreprise, votre ancien employeur ou vos centres d'intérêts peuvent être 
extraites des sites de réseaux sociaux comme Linkedin et sont utilisées pour rendre l'email plus 
convaincant. 


5. Des annonces alarmantes. Les pirates envoient des notifications alarmantes (vous informant par 
exemple que votre compte vient d'être compromis) pour vous inciter à agir vite, sans réfléchir. Ils 
espèrent ainsi vous faire révéler des informations que vous ne partageriez pas d'ordinaire. 


6. Un faible niveau d'orthographe et de grammaire. C'est généralement un signe qui ne trompe pas. 
Une syntaxe inhabituelle est également un signe suspect. 


7. Un état d'urgence. « Si vous ne répondez pas dans les 48 heures, votre compte sera fermé. » En 
créant une situation d'urgence, les pirates espèrent que vous commettrez une erreur. 


8. « Vous avez gagné le grand prix ! » Ces emails de phishing, bien que courants, ne sont pas faciles 
à repérer. Une autre variante consiste à vous demander de remplir un petit questionnaire (et donc 
de partager quelques informations personnelles) en échange d'un prix. 


9. «Vérifiez votre compte. » Ces messages usurpent des emails authentiques et vous demandent 
de vérifier votre compte. Restez toujours sur vos gardes et demandez-vous toujours pourquoi l'on 
vous demande de vérifier votre compte. Il y a de fortes chances pour que ce soit une arnaque. 


10. Le « cybersquatting ». Souvent, les cybercriminels achètent et "squattent" les noms de sites Web 
qui sont quasi-identiques aux sites officiels dans l'espoir que les internautes ne le remarqueront 
pas, par exemple www.google.com au lieu de www.g00gle.com. Prenez toujours le temps de 
vérifier l'URL avant de saisir vos données personnelles. 


Vous trouverez plus de conseils et d'outils pour lutter contre le phishing sur notre page www.sophos.fr/ 
prevent-phishing 
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